Chrome release 102

Google wis ngumumake rilis browser web Chrome 102. Ing wektu sing padha, rilis stabil proyek Chromium gratis, sing dadi basis Chrome, kasedhiya. Browser Chrome beda karo Chromium nalika nggunakake logo Google, ana sistem kanggo ngirim kabar yen ana kacilakan, modul kanggo muter konten video sing dilindhungi salinan (DRM), sistem kanggo nginstal nganyari kanthi otomatis, kanthi permanen ngaktifake isolasi Sandbox. , nyediakake kunci menyang API Google lan ngirimake RLZ- nalika nggoleki. Kanggo sing mbutuhake wektu luwih akeh kanggo nganyari, cabang Stable Extended didhukung kanthi kapisah, banjur 8 minggu. Rilis sabanjure Chrome 103 dijadwalake tanggal 21 Juni.

Owah-owahan utama ing Chrome 102:

• Kanggo mblokir eksploitasi kerentanan sing disebabake ngakses blok memori sing wis dibebasake (nggunakake sawise-gratis), tinimbang penunjuk biasa, jinis MiraclePtr (raw_ptr) wiwit digunakake. MiraclePtr menehi naleni liwat penunjuk sing nindakake mriksa tambahan ing akses menyang wilayah memori dibebaske lan kacilakan yen akses kasebut dideteksi. Dampak saka cara pangayoman anyar ing kinerja lan konsumsi memori ditaksir minangka diabaikan. Mekanisme MiraclePtr ora bisa ditrapake ing kabeh proses, utamane ora digunakake ing proses rendering, nanging bisa nambah keamanan kanthi signifikan. Contone, ing release saiki, saka 32 kerentanan tetep, 12 disebabake masalah nggunakake-sawise-free.
• Desain antarmuka kanthi informasi babagan download wis diganti. Tinimbang garis ngisor kanthi data babagan kemajuan download, indikator anyar wis ditambahake ing panel kanthi garis alamat; yen sampeyan ngeklik, kemajuan ndownload file lan riwayat kanthi dhaptar file sing wis diunduh ditampilake. Ora kaya panel ngisor, tombol kasebut terus ditampilake ing panel lan ngidini sampeyan ngakses riwayat download kanthi cepet. Antarmuka anyar saiki ditawakake minangka standar mung kanggo sawetara pangguna lan bakal ditambahake kanggo kabeh yen ora ana masalah. Kanggo ngasilake antarmuka lawas utawa ngaktifake sing anyar, setelan "chrome: // flags # download-gelembung" diwenehake.
• Nalika nggoleki gambar liwat menu konteks ("Telusuri gambar nganggo Google Lens" utawa "Golek liwat Google Lens"), asil saiki ora ditampilake ing kaca sing kapisah, nanging ing sidebar ing jejere isi kaca asli (ing siji jendhela sampeyan bisa bebarengan ndeleng isi kaca lan asil ngakses mesin telusur).
• Ing bagean "Privasi lan Keamanan" ing setelan kasebut, bagean "Privacy Guide" wis ditambahake, sing menehi gambaran umum babagan setelan utama sing mengaruhi privasi kanthi panjelasan rinci babagan pengaruh saben setelan. Contone, ing bagean sampeyan bisa nemtokake kabijakan kanggo ngirim data menyang layanan Google, ngatur sinkronisasi, pangolahan cookie lan nyimpen riwayat. Fungsi kasebut ditawakake kanggo sawetara pangguna; kanggo ngaktifake, sampeyan bisa nggunakake setelan "chrome: // flags#privacy-guide".
• Struktur riwayat telusuran lan kaca sing dideleng diwenehake. Nalika sampeyan nyoba nelusuri maneh, tandha "Terusake perjalanan sampeyan" ditampilake ing bilah alamat, ngidini sampeyan nerusake telusuran saka papan sing pungkasan diselani.
• Toko Web Chrome nawakake kaca "Extensions Starter Kit" kanthi pilihan awal tambahan sing disaranake.
• Ing mode test, ngirim panjalukan wewenang CORS (Cross-Origin Resource Sharing) menyang server situs utama kanthi header "Access-Control-Request-Private-Network: true" diaktifake nalika kaca ngakses sumber daya ing jaringan internal ( 192.168.xx, 10.xxx, 172.16.xx) utawa menyang localhost (128.xxx). Nalika ngonfirmasi operasi kanggo nanggepi panjalukan iki, server kudu ngasilake header "Access-Control-Allow-Private-Network: true". Ing Chrome versi 102, asil konfirmasi durung mengaruhi pangolahan panjalukan - yen ora ana konfirmasi, bebaya ditampilake ing console web, nanging panjalukan subresource dhewe ora diblokir. Ngaktifake pamblokiran tanpa konfirmasi saka server ora samesthine nganti rilis Chrome 105. Kanggo ngaktifake pamblokiran ing rilis sadurungé, sampeyan bisa ngaktifake setelan "chrome://flags/#private-network-access-respect-preflight- asil".

  Verifikasi wewenang dening server dienalake kanggo ngiyataken pangayoman marang serangan sing ana hubungane karo ngakses sumber daya ing jaringan lokal utawa ing komputer pangguna (localhost) saka skrip sing dimuat nalika mbukak situs. Panjaluk kasebut digunakake dening panyerang kanggo nindakake serangan CSRF ing router, titik akses, printer, antarmuka web perusahaan lan piranti lan layanan liyane sing mung nampa panjalukan saka jaringan lokal. Kanggo nglindhungi saka serangan kasebut, yen ana sub-sumber daya sing diakses ing jaringan internal, browser bakal ngirim panjalukan sing jelas kanggo ijin kanggo mbukak sub-sumber kasebut.

• Nalika mbukak pranala ing mode incognito liwat menu konteks, sawetara paramèter sing mengaruhi privasi bakal dibusak kanthi otomatis saka URL.
• Strategi pangiriman nganyari kanggo Windows lan Android wis diganti. Kanggo luwih lengkap mbandhingake prilaku rilis anyar lan lawas, macem-macem mbangun versi anyar saiki digawe kanggo diundhuh.
• Teknologi segmentasi jaringan wis stabil kanggo ngreksa marang cara nglacak obahe pangguna antarane situs adhedhasar nyimpen pengenal ing wilayah sing ora dimaksudake kanggo panyimpenan permanen informasi ("Supercookies"). Amarga sumber daya sing di-cache disimpen ing ruang jeneng umum, ora preduli saka domain asal, siji situs bisa nemtokake manawa situs liya ngemot sumber daya kanthi mriksa manawa sumber kasebut ana ing cache. Proteksi kasebut adhedhasar panggunaan segmentasi jaringan (Network Partitioning), sing intine yaiku nambahake menyang cache sing dienggo bareng, ikatan tambahan rekaman menyang domain saka kaca utama dibukak, sing mbatesi jangkoan cache kanggo skrip pelacakan gerakan mung. menyang situs saiki (skrip saka iframe ora bakal bisa mriksa manawa sumber kasebut diundhuh saka situs liya). Nuduhake negara kalebu sambungan jaringan (HTTP/1, HTTP/2, HTTP/3, websocket), cache DNS, data ALPN/HTTP2, TLS/HTTP3, konfigurasi, undhuhan, lan informasi header Expect-CT.
• Kanggo aplikasi web mandiri sing diinstal (PWA, Progressive Web App), sampeyan bisa ngganti desain area judhul jendhela nggunakake komponen Window Controls Overlay, sing ngluwihi area layar aplikasi web menyang kabeh jendhela. Aplikasi web bisa ngontrol proses rendering lan input kabeh jendhela, kajaba blok overlay karo tombol kontrol jendhela standar (cedhak, nyilikake, maksimalake), kanggo menehi aplikasi web katon minangka aplikasi desktop biasa.
• Ing sistem isi otomatis formulir, dhukungan wis ditambahake kanggo ngasilake nomer kertu kredit virtual ing lapangan kanthi rincian pembayaran kanggo barang ing toko online. Nggunakake kertu virtual, jumlah sing digawe kanggo saben pembayaran, ngidini sampeyan ora nransfer data babagan kertu kredit nyata, nanging mbutuhake panyedhiya layanan sing dibutuhake dening bank. Fitur kasebut saiki mung kasedhiya kanggo pelanggan bank AS. Kanggo ngontrol inklusi fungsi kasebut, setelan "chrome: // flags / #autofill-enable-virtual-card" diusulake.
• Mekanisme "Capture Handle" diaktifake kanthi gawan, ngidini sampeyan nransfer informasi menyang aplikasi sing njupuk video. API ndadekake iku bisa kanggo ngatur interaksi antarane aplikasi kang isi direkam lan aplikasi sing nindakake rekaman. Contone, aplikasi konferensi video sing njupuk video kanggo nyebarake presentasi bisa njupuk informasi babagan kontrol presentasi lan nampilake ing jendhela video.
• Dhukungan kanggo aturan spekulatif diaktifake kanthi gawan, nyedhiyakake sintaks fleksibel kanggo nemtokake manawa data sing gegandhengan karo link bisa dimuat kanthi proaktif sadurunge pangguna ngeklik link kasebut.
• Mekanisme kanggo sumber daya kemasan menyang paket ing format Web Bundle wis stabil, saéngga nambah efisiensi ngemot file sing akeh banget (gaya CSS, JavaScript, gambar, iframe). Ora kaya paket ing format Webpack, format Web Bundle nduweni kaluwihan ing ngisor iki: dudu paket kasebut dhewe sing disimpen ing cache HTTP, nanging bagean komponene; kompilasi lan eksekusi JavaScript diwiwiti tanpa ngenteni paket diundhuh kanthi lengkap; Diijini kalebu sumber daya tambahan kayata CSS lan gambar, sing ing paket web kudu dikode ing wangun string JavaScript.
• Sampeyan bisa nemtokake aplikasi PWA minangka panangan jinis MIME tartamtu lan ekstensi file. Sawise nemtokake ikatan liwat kolom file_handlers ing manifest, aplikasi bakal nampa acara khusus nalika pangguna nyoba mbukak file sing ana gandhengane karo aplikasi kasebut.
• Nambahake atribut inert anyar sing ngidini sampeyan menehi tandha bagean saka wit DOM minangka "ora aktif". Kanggo simpul DOM ing negara iki, pilihan teks lan panangan hover pointer dipatèni, i.e. Properti CSS pointer-acara lan pangguna-pilih mesthi disetel dadi 'ora ana'. Yen simpul bisa diowahi, banjur ing mode inert dadi ora bisa diedit.
• Nambahake API Navigasi, sing ngidini aplikasi web nyegat operasi navigasi jendhela, miwiti navigasi, lan nganalisa riwayat tumindak nganggo aplikasi kasebut. API menehi alternatif kanggo window.history lan window.location, optimized kanggo aplikasi web siji-kaca.
• Gendéra anyar, "nganti ditemokake", wis diusulake kanggo atribut "didhelikake", sing ndadekake unsur bisa ditelusuri ing kaca lan bisa digulung nganggo topeng teks. Contone, sampeyan bisa nambah teks sing didhelikake menyang kaca, sing isine bakal ditemokake ing panelusuran lokal.
• Ing WebHID API, dirancang kanggo akses tingkat rendah kanggo piranti HID (Piranti antarmuka manungsa, keyboard, clurut, gamepads, touchpads) lan ngatur karya tanpa ana driver tartamtu ing sistem, property exclusionFilters wis ditambahake menyang requestDevice( ), sing ngidini sampeyan ngilangi piranti tartamtu nalika browser nampilake dhaptar piranti sing kasedhiya. Contone, sampeyan bisa ngilangi ID piranti sing duwe masalah.
• Dilarang nampilake wangun pembayaran liwat telpon kanggo PaymentRequest.show () tanpa tumindak pangguna eksplisit, Contone, klik ing unsur gadhah pawang.
• Dhukungan kanggo implementasi alternatif protokol SDP (Session Description Protocol) sing digunakake kanggo netepake sesi ing WebRTC wis ora diterusake. Chrome nawakake rong opsi SDP - digabungake karo browser liyane lan khusus Chrome. Wiwit saiki, mung opsi portabel sing isih ana.
• Dandan wis digawe kanggo alat kanggo pangembang web. Tombol sing ditambahake ing panel Gaya kanggo simulasi panggunaan tema peteng lan cahya. Perlindhungan tab Pratinjau ing mode pamriksa jaringan wis dikuatake (aplikasi Kebijakan Keamanan Konten diaktifake). Debugger ngleksanakake mandap script kanggo ngisi maneh breakpoints. Implementasi awal panel "Wawasan kinerja" anyar wis diusulake, sing ngidini sampeyan nganalisa kinerja operasi tartamtu ing kaca kasebut.

Saliyane inovasi lan koreksi bug, versi anyar ngilangi 32 kerentanan. Akeh kerentanan sing diidentifikasi minangka asil tes otomatis nggunakake AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer lan alat AFL. Salah sawijining masalah (CVE-2022-1853) wis diwenehi tingkat bebaya kritis, sing nuduhake kemampuan kanggo ngliwati kabeh tingkat proteksi browser lan nglakokake kode ing sistem ing njaba lingkungan kothak wedhi. Rincian babagan kerentanan iki durung diumumake; mung dingerteni manawa kedadeyan kasebut amarga ngakses blok memori sing dibebasake (nggunakake sawise-gratis) ing implementasi API DB Indexed.

Minangka bagéan saka program ganjaran awis kanggo nemokake kerentanan kanggo rilis saiki, Google mbayar 24 penghargaan senilai $65600 (siji penghargaan $10000, siji penghargaan $7500, loro penghargaan $7000, telung penghargaan $5000, papat penghargaan $3000, loro penghargaan $2000, lan loro $ 1000 bonus). Ukuran 500 ganjaran durung ditemtokake.

Source: opennet.ru